netscreen配置端口映射web服务器

网络拓扑：

Server端配置web服务器，ip地址为，处于trust端口1，通道Trust；Client pc处于公司内网中，ip ，用来访问web服务器；防火墙的untrust端口连接公司内网，将公司内网模拟成外部Internet。配置策略使client访问server。

1.配置各接口IP

配置trust接口ip为管理ip为，接口工作在NAT模式。

测试web到trust接口的三层连通性：

配置unstrust接口的ip获取方式为静态，地址为，为了测试方便，保留了ping服务：

同样测试公司内网client到untrust接口的连通性，ping测试。

2.设置web服务器

使用iis作为服务器，略。本机访问测试效果如下：

3.配置防火墙

A.做端口映射，将外网的80端口映射到server的HTTP服务：编辑untrust端口，配置vip：

B.做策略，新建一条从untrust到global的策略。因为配置的VIP地址会自动添加到Gloabal 地址块中，所以需要到global的策略。

在源地址中选择地址簿Any，目标地址选择global vip地址块，服务类型只开放HTTP。在Advanced中选择Logging和Counting选项，以便观察访问情况：

4.测试

使用Client访问成功打开上架设的网站，实现了外网访问内网中的HTTP服务。

打开Policis的策略日志查看：

可以看出客户机Client的访问记录。

5.总结

本实验需要注意的地方：

A.外网访问内网时，需要有从server返回的路由，实现双向通信（在本模拟环境中可略去，因为模拟的Internet在同一ip段中，但现实中是不可能的）。而untrust端口通过static静态ip获取方式不能在路由表中生成默认路由，所以需要手动添加一条默认路由指向外网网关：

B.在添加VIP时，如果不修改默认的Web UI管理端口80，将不能成功添加80端口到内网HTTP的映射服务，因为netscreen认为管理端口和映射端口冲突，所以需要手动修改默认管理端口成8080